ในวันเมื่อวันที่ 31 มีนาคม 2026 พบว่าแพ็กเกจ npm ของ Axios จำนวน 2 เวอร์ชัน ได้แก่ axios@1.14.1 และ axios@0.30.4 ถูกแทรก dependency ที่เป็นอันตรายชื่อ plain-crypto-js@4.2.1 ซึ่งมีพฤติกรรมดาวน์โหลดเพย์โหลดหลายขั้นตอนจากโครงสร้างพื้นฐานของผู้ไม่หวังดีทางไซเบอร์ รวมถึง โทรจันสำหรับการเข้าถึงระบบจากระยะไกล (remote access trojan) บนเครื่องที่ได้รับผลกระทบได้

CISA ขอให้องค์กรดำเนินมาตรการต่อไปนี้เพื่อตรวจจับและแก้ไขความเสียหายที่อาจเกิดขึ้นจากการถูกโจมตี

• เฝ้าระวังและตรวจสอบคลังเก็บซอร์สโค้ด (code repositories), ระบบ Continuous Integration/Continuous Delivery (CI/CD) และเครื่องของนักพัฒนาที่มีการรันคำสั่ง npm install หรือ npm update โดยใช้ Axios เวอร์ชันที่ได้รับผลกระทบ
• ค้นหาเวอร์ชันที่ถูกแคชไว้ของ dependency ที่ได้รับผลกระทบใน artifact repositories และเครื่องมือจัดการ dependency พร้อมทั้งกำหนด (pin) เวอร์ชันของ npm package dependencies ให้เป็นเวอร์ชันที่ยืนยันแล้วว่าปลอดภัย
• หากตรวจพบ dependency ที่ถูกบุกรุก ให้ย้อนสภาพแวดล้อมกลับไปยังสถานะที่ปลอดภัยและเชื่อถือได้
• ปรับลดเวอร์ชันไปใช้ axios@1.14.0 หรือ axios@0.30.3 และลบไดเรกทอรี node_modules/plain-crypto-js/
• เปลี่ยนหรือเพิกถอนข้อมูลรับรอง (credentials) ที่อาจรั่วไหลบนระบบหรือใน pipeline ที่ได้รับผลกระทบ เช่น โทเคนของระบบควบคุมเวอร์ชัน (VCS tokens), ความลับในระบบ CI/CD, cloud keys, npm tokens และกุญแจ Secure Shell (SSH) สำหรับงาน CI แบบชั่วคราว (ephemeral CI jobs) ควรเปลี่ยนความลับทั้งหมดที่ถูกนำไปใช้ในรอบการทำงานที่ได้รับผลกระทบ
• เฝ้าระวังกระบวนการย่อย (child processes) ที่ไม่คาดคิด และพฤติกรรมเครือข่ายที่ผิดปกติ โดยเฉพาะในระหว่างการรัน npm install หรือ npm update
• บล็อกและเฝ้าระวังการเชื่อมต่อขาออกไปยังโดเมน Sfrclak[.]com
• ดำเนินการค้นหาตัวบ่งชี้การถูกโจมตี (Indicators of Compromise: IoCs) อย่างต่อเนื่อง และตรวจสอบเชิงลึกด้วยระบบ Endpoint Detection and Response (EDR) เพื่อยืนยันว่าไม่มีร่องรอยการบุกรุกหลงเหลืออยู่ รวมทั้งต้องมั่นใจว่าไม่มีการเชื่อมต่อออกไปยังระบบ Command and Control (C2) อีกต่อไป

นอกจากนี้ CISA ยังแนะนำให้องค์กรที่ใช้งาน Axios บน npm ดำเนินมาตรการเพิ่มเติม ดังนี้

• บังคับใช้การยืนยันตัวตนหลายปัจจัยแบบต้านทานฟิชชิง (phishing-resistant multifactor authentication: MFA) กับบัญชีนักพัฒนาทั้งหมด โดยเฉพาะบัญชีที่ใช้กับแพลตฟอร์มสำคัญ
• กำหนดค่า ignore-scripts=true ในไฟล์กำหนดค่า .npmrc เพื่อป้องกันไม่ให้สคริปต์ที่อาจเป็นอันตรายถูกรันระหว่างการติดตั้งแพ็กเกจด้วย npm
• กำหนดค่า min-release-age=7 ในไฟล์ .npmrc เพื่ออนุญาตให้ติดตั้งเฉพาะแพ็กเกจที่ถูกเผยแพร่มาแล้วอย่างน้อย 7 วัน ซึ่งช่วยลดความเสี่ยงจากการติดตั้งแพ็กเกจที่ยังไม่ได้รับการตรวจสอบอย่างรอบคอบ หรืออาจเป็นแพ็กเกจที่เป็นอันตราย
• จัดทำและคงไว้ซึ่งค่าพื้นฐานของพฤติกรรมการทำงานปกติ (baseline) สำหรับเครื่องมือที่ใช้งาน Axios
• ตั้งค่าแจ้งเตือนเมื่อ dependency มีพฤติกรรมผิดไปจากปกติ เช่น มีการสร้างคอนเทนเนอร์ เปิดเชลล์ หรือสั่งรันคำสั่งต่าง ๆ รวมถึงติดตามกิจกรรมเครือข่ายขาออกเพื่อค้นหาการเชื่อมต่อที่ผิดปกติ

สำหรับแนวทางเพิ่มเติมเกี่ยวกับกรณีการโจมตีครั้งนี้ CISA แนะนำให้ศึกษาเอกสารจากแหล่งข้อมูลต่อไปนี้
GitHub: https://github.com/axios/axios/issues/10636
Microsoft: https://www.microsoft.com/en-us/security/blog/2026/04/01/mitigating-the-axios-npm-supply-chain-compromise/
StepSecurity: https://www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan
npm Docs: https://docs.npmjs.com/packages-and-modules/securing-your-code
Socket: https://socket.dev/blog/axios-npm-package-compromised

อ้างอิง
https://www.cisa.gov/news-events/alerts/2026/04/20/supply-chain-compromise-impacts-axios-node-package-manager
สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand